「奇幻熊」(APT28)組織最新攻擊
近日騰訊御見威脅情報中心在監測Fancy Bear「奇幻熊」組織的攻擊活動過程中,發現了其使用的最新攻擊樣本。下文將詳細披露該組織的攻擊手法,和各企業一起共同抵禦此類高級攻擊。
0x1 概況
「奇幻熊」(Fancy Bear,T-APT-12)組織,也被稱作APT28, Pawn Storm, Sofacy Group, Sednit或STRONTIUM,是一個長期從事網路間諜活動並與俄羅斯軍方情報機構相關的APT組織,從該組織的歷史攻擊活動可以看出,獲取國家利益一直是該組織的主要攻擊目的。據國外安全公司報道,該組織最早的攻擊活動可以追溯到2004年至2007年期間。
(圖1:攻擊活動時間軸)
騰訊御見威脅情報中心近日檢測到該組織利用英國信息服務提供商IHS Markit公司的郵箱賬號向羅馬尼亞外交部發送釣魚郵件進行定向攻擊。在攻擊技術利用方面,該組織使用了最新的白利用技術,白利用程序為證書管理程序certutil.exe。此外,該組織還使用了最新的後門技術,利用UserInitMprLogonScript註冊表鍵值來實現開機自啟動。本次攻擊中使用的木馬為Carberp銀行木馬的變種,在隱藏網路行為及保護勝利果實方面做出了優化。此前,該組織也曾使用釣魚郵件及Carberp變種木馬對美國政府機構進行攻擊。
(圖2:攻擊流程圖)
0x2 荷載投遞
此次攻擊使用了釣魚郵件進行定向攻擊,誘餌郵件主題為《Upcoming Events February 2018》,郵件附件名Upcoming Events February 2018.xls,郵件內容如下圖所示。當打開郵件附件中的excel表格時,會發現表格中大部分內容為空,同時會彈出「啟用宏」的醒目提示。
(圖3:郵件內容)
(圖4:啟用宏的提示及表格內容為空)
(圖5:啟用宏後,表格內容顯示出來)
一旦點擊「啟用內容」按鈕,電腦就會執行宏代碼。分析宏代碼時,發現代碼被加密保護,破解密碼後,可看到宏代碼的主要功能是從表格中取出加密的pe文件,再利用微軟的簽名程序certutil.exe解密此pe文件,最後再執行此解密的pe文件。
(圖6:分析宏代碼時,彈出輸入密碼的提示)
(圖7:宏代碼,功能解釋)
(圖8:宏代碼,功能解釋)
(圖9:表格中存儲的base64加密的pe文件)
上文表格中存儲的base64加密的pe文件,會被宏代碼存儲為N9A6C5T3.txt文件,之後宏代碼會利用微軟的簽名程序certutil.exe對釋放的N9A6C5T3.txt(文件名隨機生成)文件進行base64解密從而得到木馬exe,解密時命令行為」certutil -decode C:ProgramdataN9A6C5T3.txt C:ProgramdataC3E4U3B1.exe」
(圖10:釋放的文件)
c3e4u3b1.exe執行後會釋放cdnver.dll和cdnver.bat到「C:UsersAdministratorAppDataLocal」目錄,接著會修改UserInitMprLogonScript註冊表的鍵值為「C:UsersAdministratorAppDataLocalcdnver.bat」,從而實現開機自啟動。 修改完註冊表後會利用rundll32.exe 來執行cdnver.dll,命令行為」C:WindowsSystem32
undll32.exe」 「C:UsersAdministratorAppDataLocalcdnver.dll」,#1
(圖11:bat中的內容)
(圖12:修改的註冊表)
0x3 RAT分析
木馬的主要功能都集中在cdnver.dll中,此功能主要包括信息收集、上傳與下載文件、下載與執行pe、截屏等。在此dll的導出函數cdnver_1中會創建一個線程,木馬的主要功能都是從此線程開始。
(圖13:導出函數cdnver_1)
Pe中的關鍵明文字元串同樣使用了簡單的異或演算法加密。
(圖14:字元串解密函數)
木馬運行後會創建名為「vgekW8b1st6yjzPA9fewB70o7KC」 的互斥對象,還會創建名為「SNFIRNW」 的FileMap對象,方便後續進行進程間通信。在讀寫FileMap對象時,會對tag進行驗證,主要tag有0x1234ABCD、0x0DCBA4321、0x98761234、0x43216789
(圖15:創建互斥對象)
(圖16:FileMap對象)
(圖17:進程間通信時驗證tag)
該木馬配置了兩個c2地址,一真一假,第一個c2的域名為」google.com」。第二個c2為「cdnverify.net」,在傳輸數據中途會不斷地切換兩個c2,從而達到隱藏通信的目的。如果通信失敗,還會將自身注入進firefox.exe或iexplore.exe等瀏覽器進程,直接在這些進程里將收集的信息上傳到c2,木馬還會將c2信息加密後存儲在註冊表下HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionInternet SettingsServers的Domain項中。
(圖18:解密出兩個c2)
(圖19:存儲c2)
在通信過程中會讀取firefox的配置文件prefs.js中的「network.proxy.http」和」network.proxy.http_port」欄位來獲取本地代理的地址,進而方便將收集的信息成功傳送出去。
(圖20:從profiles.ini中獲取prefs.js文件的路徑)
(圖21:查找prefs.js中的proxy相關欄位)
注入dll時先使用ZwWriteVirtualMemory等函數將pe文件寫進目標進程,再創建遠線程將注入dll依賴的dll全部載入,最後再創建遠線程開啟進程間通信功能。
(圖22:注入)
在查找待注入的進程時,直接比較的是進程名的hash值,而不是直接的明文字元串。
Hash | 進程名 |
---|---|
0x0CDCB4E50 | iexplore.exe |
0x70297938 | firefox.exe |
0x723F0158h | Chrome.exe |
(圖23:根據進程名hash值進行查找)
該木馬會使用HttpSendRequestA等函數進行網路發包,在發上線包時會將當前所有進程名及計算機截屏等信息上傳。截屏時使用模擬printscreen按鍵進行截屏,再從剪貼板取出圖像數據。
(圖24:發包)
(圖25:截屏)
在進行發包時,會將收集的內容存儲在「disk」、「 build」、「img」、「id」等標籤中,主要標籤如下表所示,之後進行加密後,再隨機生成url後進行post發包。
標籤名 | 含義 |
---|---|
ID | 硬碟序列號,dword |
disk | 磁碟名稱 |
build | 木馬版本號0x9104f000 |
Img | 加密成字元串後的截屏bmp文件 |
(圖26:http發包時的明文協議)
(圖27:http發包時的明文協議)
(圖28:發包時使用的相關標籤)
(圖29:抓包數據,url為隨機生成)
木馬使用InternetReadFile函數來接收伺服器下發的指令,解密後再進行解析。指令標籤主要有Execute、Delete、LoadLib、ReadFile、shell、FileName、PathToSave、Rundll、IP等。
(圖30:接收協議)
(圖31:伺服器response中存在的內容)
(圖32:伺服器response中存在的內容)
(圖33:根據伺服器下發的指令創建進程)
0x4 總結
從上文可以看出,此次攻擊未使用主流的offfice漏洞,反而使用了office固有的宏技術,但該組織在誘餌製作、誘餌投遞、勝利果實回收方面,確實下了一番功夫。目前,騰訊御界高級威脅檢測系統基於騰訊反病毒實驗室的安全能力,依託騰訊在雲和端的大數據,形成了強大且獨特的威脅情報和惡意檢測模型,憑藉基於行為的防護和智能模型兩大核心能力,能高效檢測未知威脅,並實時阻攔此類釣魚郵件、惡意宏文檔、證書管理程序白利用等攻擊方式。
附錄(IOCs)
MD5:
56F98E3ED00E48FF9CB89DEA5F6E11C1 (Upcoming Events February 2018.xls)36524C90CA1FAC2102E7653DFADB31B2(C3E4U3B1.exe)4FD196D9ADD7194E27C2591D30E3A90A(cdnver.bat)2361181C5D9A15EC3D5249DE1985B83D(N9A6C5T3.txt)AA2CD9D9FC5D196CAA6F8FD5979E3F14(cdnver.dll)
C2:
cdnverify.net151.80.74.167
Email:
events@ihsmarkit.com(發信郵箱)
註冊表項:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsServers
HKEY_CURRENT_USEREnvironmentUserInitMprLogonScript
*本文作者:騰訊電腦管家,轉載請註明來自FreeBuf.COM
※如何通過Emond在macOS上實現持久化訪問
※ZZCMS v8.2 最新版SQL注入漏洞
TAG:FreeBuf |